你可能會認為釣魚網(wǎng)站很難檢測和跟蹤，但實際上，許多釣魚網(wǎng)站都包含唯一標識它們的HTML片段。本文就以英國皇家郵政(Royal Mail)釣魚網(wǎng)站為例來進行說明，它們都包含字符串css_4WjozGK8ccMNs2W9MfwvMVZNPzpmiyysOUq4_0NulQo。

這些長而隨機的字符串是追蹤釣魚網(wǎng)站的絕佳指標，幾乎可以肯定，任何含有css_4WjozGK8ccMNs2W9MfwvMVZNPzpmiyysOUq4_0NulQo的網(wǎng)頁都是皇家郵政釣魚工具的實例。

但是，像這樣的獨特字符串最終如何成為檢測網(wǎng)絡(luò)釣魚工具標識的呢?

不幸的是，我們并不是RFC 3514的模仿者，在RFC 3514中，如果所有的IP數(shù)據(jù)包是惡意的，那么它們都包含一個標志信號。不，這些識別字符串完全是由釣魚工具開發(fā)者無意中包含的。

釣魚工具是如何誕生的?

釣魚網(wǎng)站試圖盡可能接近他們真正的目標網(wǎng)站，然而，大多數(shù)釣魚者并不具備復(fù)制公司網(wǎng)站的技能。相反，他們采用了快捷方式，只是假冒了原始網(wǎng)站的HTML并對其進行了一些小的調(diào)整。

假冒目標網(wǎng)站并將其變成釣魚工具的過程大致如下：

(1) 使用諸如HTTrack之類的工具復(fù)制目標網(wǎng)站，甚至只需在網(wǎng)絡(luò)瀏覽器中點擊文件→保存即可。

(2) 調(diào)整HTML以添加一個請求受害者個人信息的表單。

(3) 將其與PHP后端粘合在一起，以保存收集到的數(shù)據(jù)。

然后，可以將該工具包輕松部署到便宜的托管服務(wù)提供商上，并準備收集受害者的詳細信息。

(4) 通過復(fù)制整個網(wǎng)頁，釣魚者幾乎不需要什么技巧或精力即可獲得一個超級逼真的釣魚頁面。但是，這種假冒模式意味著他們的釣魚頁面充滿了他們實際上并不需要的東西。

特別是，原始網(wǎng)站中的任何特殊字符串都有可能意外地出現(xiàn)在最終的釣魚工具中。這對我們來說很好，因為尋找特殊字符串是一種非常容易和可靠的方法來檢測釣魚網(wǎng)站。

所謂的特殊字符串就是一個足夠長或復(fù)雜的字符串，該字符串在整個互聯(lián)網(wǎng)上都是獨一無二的，這可能是因為它是隨機字符(如64a9e3b8)或只是因為它足夠長。

那么，問題來了：為什么在最初的網(wǎng)站中會有這些字符串?事實證明，在現(xiàn)代開發(fā)實踐中，網(wǎng)站到處都是這些足夠長或復(fù)雜的字符串。

網(wǎng)頁中長或復(fù)雜的字符串是怎么來的?

現(xiàn)代網(wǎng)站很少是100%靜態(tài)的內(nèi)容，當前的開發(fā)實踐和網(wǎng)絡(luò)安全特性意味著，有多種方法可以使冗長的隨機字符串最終出現(xiàn)在網(wǎng)站中。以下是我所見過的各種來源的概述：

1. 文件名中的哈希

現(xiàn)代網(wǎng)站通常使用諸如Webpack或Parcel之類的“捆綁包”進行處理，這些捆綁包將所有JavaScript和CSS組合成一組文件。例如，網(wǎng)站的sidebar.css和footer.css可能合并為一個styles.css文件。

為了確保瀏覽器獲得這些文件的正確版本，捆綁程序通常在文件名中包含一個哈希。昨天你的網(wǎng)頁可能使用的是styles.64a9e3b8.css，但是在更新你的樣式表之后，它現(xiàn)在使用的是styles.a4b3a5ee.css。這個文件名的改變迫使瀏覽器獲取新的文件，而不是依賴于它的緩存。

但這些足夠長或復(fù)雜的文件名正是最近皇家郵政(Royal Mail)的釣魚工具被發(fā)現(xiàn)的原因。

當釣魚者假冒真正的皇家郵政網(wǎng)站時，HTML看起來是這樣的：

不幸的是，不管他們用什么技術(shù)來假冒網(wǎng)站，文件名都沒有改變。因此，通過urlscan.io查找大量使用CSS文件的釣魚網(wǎng)站是很容易的：

2. 版本控制參考

網(wǎng)絡(luò)釣魚者針對的任何網(wǎng)站很可能都是由一個團隊開發(fā)的，他們很可能會使用git等版本控制系統(tǒng)(VCS)進行協(xié)作。

一個合理的常見的選擇是在網(wǎng)站的每一個構(gòu)建中嵌入一個來自VCS的參考，這有助于完成諸如將漏洞報告與當時正在運行的代碼版本相關(guān)聯(lián)之類的任務(wù)。

例如，Monzo網(wǎng)站使用一個小的JavaScript代碼片段嵌入了git commit哈希：

VCS參考資料對于安防人員來說非常有用，因為它們很容易在版本控制系統(tǒng)中找到。如果你發(fā)現(xiàn)一個釣魚網(wǎng)站無意中包含了VCS參考，你就可以直接查找該網(wǎng)站的編寫時間(也就是該網(wǎng)站被假冒的時間)。

3. SaaS的API密鑰

網(wǎng)站經(jīng)常使用各種第三方服務(wù)，如對講機或reCAPTCHA。為了使用這些服務(wù)，網(wǎng)站通常需要包含相關(guān)的JavaScript庫以及一個API密鑰。

例如，Tide使用reCAPTCHA，并將這段代碼作為其集成的一部分：

因為reCAPTCHA “sitekey” 對每個網(wǎng)站來說都是唯一的，因此任何包含字符串6Lclb0UaAAAAAJJVHqW2L8FXFAgpIlLZF3SPAo3w且不在tide.co上的頁面都很可能是假冒的網(wǎng)站。

雖然SaaS API密鑰是非常獨特的，并且具有很好的指示作用，但它們變化非常少，因此無法區(qū)分從同一網(wǎng)站假冒出來的不同釣魚工具。一個網(wǎng)站可能會使用相同的API密鑰達數(shù)年之久，因此在那時創(chuàng)建的所有工具包都將包含相同的密鑰。出于同樣的原因，API密鑰對于識別何時創(chuàng)建網(wǎng)絡(luò)釣魚工具包也沒有任何幫助。

4. 跨站請求偽造(CSRF)令牌

事實證明，許多網(wǎng)絡(luò)安全最佳實踐也使網(wǎng)絡(luò)釣魚成為重要的指標。其中最常見的可能是“跨網(wǎng)站請求偽造”(CSRF)令牌。

簡單地說，CSRF是一個漏洞，惡意網(wǎng)站可以借此誘騙用戶在目標網(wǎng)站上執(zhí)行經(jīng)過身份驗證的操作。例如，此HTML創(chuàng)建了一個按鈕，點擊該按鈕可將POST請求發(fā)送到

https://example.com/api/delete-my-account"：

如果example.com不能防御CSRF，它將處理此請求并刪除毫無戒心的用戶帳戶。

防御CSRF的最常見方法是使用所謂的CSRF令牌，這是一個嵌入在每個網(wǎng)頁中的隨機值，服務(wù)器希望將其與敏感請求一起發(fā)送回去。例如，example.com的“刪除我的賬戶”按鈕應(yīng)該是這樣的：

服務(wù)器將拒絕任何不包含預(yù)期隨機值的請求。

CSRF令牌非常適合檢測釣魚網(wǎng)站，因為從設(shè)計上看，它們是獨一無二的。

5. 內(nèi)容安全策略隨機數(shù)

內(nèi)容安全策略(CSP)是一種較新的安全手段，可幫助防御跨網(wǎng)站腳本(XSS)攻擊。它允許開發(fā)人員指定策略，比如只允許特定域的< script >標記，或更有趣的是，對于我們的用例，僅允許包含指定“nonce”的< script >標記。

要使用基于隨機數(shù)的CSP，網(wǎng)站需要包含以下政策：

并使用具有匹配隨機值的腳本標簽：

這有助于防止XSS攻擊，因為惡意注入的JavaScript不會具有匹配的現(xiàn)時值，因此瀏覽器將拒絕運行它。

就像CSRF令牌一樣，CSP隨機數(shù)也構(gòu)成了完美的網(wǎng)絡(luò)釣魚工具包檢測器：它們的設(shè)計不可篡改，因此通常會為每個請求隨機生成長且復(fù)雜的字符串。

6. 子資源完整性哈希

現(xiàn)代瀏覽器中可用的另一個安全功能是子資源完整性(SRI)，通過允許你指定期望內(nèi)容的哈希值，可以保護你免受惡意修改的JavaScript / CSS的侵害。當瀏覽器加載受SRI保護的JavaScript / CSS文件時，它將對內(nèi)容進行哈希處理并將其與HTML中的預(yù)期哈希進行比較。如果不匹配，則會引發(fā)漏洞。

例如，以下是研究人員的博客如介紹的如何將子資源完整性用于其CSS：

這個SRI哈希值是根據(jù)研究者網(wǎng)站上所有CSS計算得出的，結(jié)果，盡管研究者使用的是公共博客模板，但極不可能有另一個網(wǎng)站具有相同的哈希值，他們必須使用完全相同的模板版本，并且必須包含所有相同的插件。

對于自定義網(wǎng)站比研究者更多的公司，實際上可以確保沒有其他網(wǎng)站擁有完全相同的CSS。

如何使用這些長且復(fù)雜的字符串來防御網(wǎng)絡(luò)釣魚

下次當你分析網(wǎng)絡(luò)釣魚網(wǎng)站時，請注意其中一些有用的長且復(fù)雜的字符串。

文件名中的哈希可能是你遇到的最常見的示例，這些也是最有用的，因為你可以在urlscan.io上搜索文件名以查找同一工具包的其他實例。

本文翻譯自：https://bradleyjkemp.dev/post/6-ways-to-detect-phishing-sites-using-high-entropy-strings/